Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

andrey20021964
 Поделиться

Рекомендуемые сообщения

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
REBE1l.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Sandor

Sandor

Опубликовано
Опубликовано

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте, пожалуйста, дополнительно с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ждем логи FRST.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

через форму отправки карантина письмо с вложением ушло, а через mail.ru не доходит

HiJackThis.log

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
Task: {7B1238F3-F91F-4084-B91A-8041C278888A} - \vnovostyahnethewol -> No File <==== ATTENTION
Task: {ECB5E8E6-DF7F-4E64-BB6E-E1D3AD742417} - System32\Tasks\IUA Xmas Task (One-Time) => C:\Program Files (x86)\IObit\IObit Uninstaller\xmas.exe
2018-12-26 10:43 - 2018-12-31 12:05 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\IObit
2018-12-15 21:57 - 2018-12-15 21:57 - 000003094 _____ C:\Windows\System32\Tasks\IUA Xmas Task (One-Time)
2018-12-15 21:43 - 2018-12-31 12:14 - 000000000 ____D C:\Users\Гость\AppData\Roaming\IObit
2018-12-15 21:43 - 2018-12-31 12:14 - 000000000 ____D C:\Users\Гость\AppData\LocalLow\IObit
2018-12-15 21:43 - 2018-12-31 12:05 - 000000000 ____D C:\ProgramData\ProductData
2018-12-15 21:43 - 2018-12-26 10:44 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\IObit
2018-12-15 21:43 - 2018-12-15 21:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare
2018-12-15 21:43 - 2018-12-15 21:43 - 000000000 ____D C:\Windows\Tasks\ImCleanDisabled
2018-12-15 21:42 - 2018-12-31 12:05 - 000000000 ____D C:\ProgramData\IObit
2018-12-15 21:42 - 2018-12-15 21:56 - 000000000 ____D C:\Program Files (x86)\IObit
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

В системе была подмена файла sethc.exe, в результате которой, вероятно, злоумышленник и проник.

Вам необходимо восстановить оригинальную версию.

 

Запустите этот скрипт в расширенном режиме.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

систему переустановить полчаса делов, у меня база зашифрована - в это вся проблема. В любом случае спасибо

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Зашифрованы файлы -1A4B014A.{suri_namika@india.com}.xtbl
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Файлы зашифрованы Vegclass@aol.com.xtbl
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Шифровальщик, расширение файлов XTBL
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...